AAA服务器
包含三种功能:认证、授权、计费
- 验证动作包含核对用户名、密码、证书
- 授权表现为下发用户权限、访问目录、用户级别等
- 计费表现为记录用户上网流量、时长等
常用两种协议:RADIUS协议和TACACS+协议
两种部署方式:使用远程服务器,或交换机设备本身作本地认证服务器
支持的服务:为多种网络访问方式提供安全保证,包括:
-
设备管理 :
TELNET,SSH,HTTP/HTTPS登录。 -
网络接入 :
PPP拨号、802.1X端口认证。 -
资源访问 :
FTP文件传输。
Radius与TACACS+协议
RADIUS (Remote Authentication Dial-In User Service远程认证拨号系统)是分布式的交互协议
-
特点 :UDP协议,1812、1813端口,传输效率高。将认证和授权捆绑在一起,计费单独处理。
-
应用场景 :最广泛应用于网络接入(如拨号、Wi-Fi、交换机端口认证)场景。
报文结构:
**Code字段决定报文类型:**值为1、2、3表示认证报文 ,值为4、5表示计费报文
Attribute字段携带认证、授权、计费信息,长度可变,采用(Type,Length,Value)三元组格式携带数据(可选Type如下,26号特殊,可自定义扩展属性)
交互过程:
TACACS+ (Terminal Access Controller Access-Control System Plus,终端访问控制器控制系统协议)是一种增强的安全协议
-
特点 :TCP 协议,更可靠。将认证、授权、计费三个过程分离,模块化程度更高,控制更精细。
-
应用场景 :常用于设备管理权限的控制(如网络工程师登录路由器、交换机进行配置)。
报文结构:
- 三种认证报文: Start、Continue、Reply
- 两种授权报文 :请求和响应
- 两种计费报文:请求和响应
授权方式
用户接入认证授权
- 本地认证授权
- RADIUS认证授权
- CA认证授权
登录设备认证授权
- 本地认证授权
- RADIUS认证授权
设备间协议认证
- 大多采用本地认证